ntdsutil

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
情報収集
説明
Active Directory データベースの保守に使用する。
攻撃時における想定利用例
NTDS.DIT(NTDSのデータベース)を抽出し、他のツールを用いてパスワードを解析する。

- ツール動作概要

項目 内容
OS Windows Server
サービス Active Directory Domain Services
権限 管理者ユーザー
ドメインへの所属

- ログから得られる情報

標準設定
  • ドメインコントローラー
    • サービスの開始、ストレージデバイスに対するドライバのインストール履歴 (システム イベントログ)
    • シャドウコピーを作成した履歴 (セキュリティ イベントログ)
追加設定
  • ドメインコントローラー
    • 実行履歴 (監査ポリシー, Sysmon)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- ドメインコントローラー

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\ntdsutil.exe)
  • CommandLine: 実行コマンドのコマンドライン (ntdsutil)
  • User: 実行ユーザー
2 システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (Volume Shadow Copy, Microsoft Software Shadow Copy Provider)
  • 状態: 移行後の状態 (実行中)
3 Application 2006 ShadowCopy lsass ([プロセスID]) シャドウ コピー インスタンス [インスタンス] は正常に完了しました。
4 Microsoft-Windows-Kernel-PnPConfig/Configuration 4 Kernel-PnPConfig インターフェイス クラス {[インターフェイス クラス]} の新しいデバイス インターフェイス '\\?\STORAGE#VolumeSnapshot#HarddiskVolumeSnapshot[番号]#{[インターフェイス クラス]}' が登録されました。
5 セキュリティ 8222 VSSAudit シャドウ コピーが作成されました。
  • ユーザー SID: 作成したユーザーのSID
  • ユーザー名: 作成したユーザー名
  • プロセスID: 作成したプロセスID
  • プロセスのイメージ名: 作成したプロセスのGUID
  • シャドウ セットID/シャドウID: 作成したシャドウのID
  • プロバイダーID: 作成したホスト
  • 元のコンピューター: 作成元ホスト・パーティション名 (\\?\Volume{[GUID]}\)
  • 元のボリューム: 作成元となったボリューム (\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[番号])
  • シャドウ デバイス名: 作成されたシャドウデバイスの名前
6 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\$SNAP_[日時]_VOLUMEC$)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\VSSVC.exe)

レジストリエントリ

# パス
1 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\##?#STORAGE#VolumeSnapshot#HarddiskVolumeSnapshot[番号]#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\DeviceInstance STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号]
2 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{[GUID]} (Key)

- 詳細:ドメインコントローラー

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\ntdsutil.exe)
  • CommandLine: 実行コマンドのコマンドライン (ntdsutil)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値 ()
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\cmd.exe)
  • ParentCommandLine: 親プロセスのコマンドライン ("C:\Windowssystem32\cmd.exe")
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\ntdsutil.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\ntdsutil.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher)
3 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID (SYSTEM)
  • ログオンの種類: ログオンの経路・方式など (5=サービス)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\services.exe)
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Advapi)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Negotiate)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (SYSTEM/SYSTEM/NT AUTHORITY)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeAssignPrimaryTokenPrivilege, SeTcbPrivilege, SeSecurityPrivilege, SeTakeOwnershipPrivilege, SeLoadDriverPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeDebugPrivilege, SeAuditPrivilege, SeSystemEnvironmentPrivilege, SeImpersonatePrivilege)
セキュリティ 4670 ポリシー変更の承認 オブジェクトのアクセス許可が変更されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (Token)
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\services.exe)
  • アクセス許可の変更 > 元のセキュリティ記述子: 変更前のセキュリティ記述子 (D:(A;;GA;;;SY)(A;;RCGXGR;;;BA))
  • アクセス許可の変更 > 新しいセキュリティ記述子: 変更後のセキュリティ記述子 (D:(A;;GA;;;SY)(A;;RC;;;OW)(A;;GA;;;[SID]))
  • 成功の監査: 成否 (変更成功)
4 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\VSSVC.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Windows\system32\vssvc.exe)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32\)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (System)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\services.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\system32\services.exe)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\VSSVC.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
5 Microsoft-Windows-Sysmon/Operational 12/13 Registry object added or deleted / Registry value set (rule: RegistryEvent) Registry object added or deleted. / Registry value set.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\vssvc.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag 配下の複数エントリ)
6 セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_ALIAS)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\VSSVC.exe)
7 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\system32\vssvc.exe)
  • TargetFilename: 作成されたファイル (C:\System Volume Information\RemoteVss)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\System Volume Information\RemoteVss)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\VSSVC.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, WriteAttributesを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\System Volume Information\RemoteVss)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\VSSVC.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteAttributes)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\VSSVC.exe)
8 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\system32\vssvc.exe)
  • TargetFilename: 作成されたファイル (C:\System Volume Information\RemoteVss\{[GUID]}-{[GUID]}.PMS)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\System Volume Information\RemoteVss\{[GUID]}-{[GUID]}.PMS)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\VSSVC.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\System Volume Information\RemoteVss\{[GUID]}-{[GUID]}.PMS)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\VSSVC.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\VSSVC.exe)
9 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID (SYSTEM)
  • ログオンの種類: ログオンの経路・方式など (5)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン (SYSTEM/SYSTEM/NT AUTHORITY)
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\services.exe)
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Advapi)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Negotiate)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (SYSTEM/SYSTEM/NT AUTHORITY)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeAssignPrimaryTokenPrivilege, SeTcbPrivilege, SeSecurityPrivilege, SeTakeOwnershipPrivilege, SeLoadDriverPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeDebugPrivilege, SeAuditPrivilege, SeSystemEnvironmentPrivilege, SeImpersonatePrivilege)
セキュリティ 4670 ポリシー変更の承認 オブジェクトのアクセス許可が変更されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (Token)
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\services.exe)
  • アクセス許可の変更 > 元のセキュリティ記述子: 変更前のセキュリティ記述子 (D:(A;;GA;;;SY)(A;;RCGXGR;;;BA))
  • アクセス許可の変更 > 新しいセキュリティ記述子: 変更後のセキュリティ記述子 (D:(A;;GA;;;SY)(A;;RC;;;OW)(A;;GA;;;[SID]))
  • 成功の監査: 成否 (変更成功)
10 システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (Volume Shadow Copy)
  • 状態: 移行後の状態 (実行中)
システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (Microsoft Software Shadow Copy Provider)
  • 状態: 移行後の状態 (実行中)
11 セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_ALIAS)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
12 システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (Device Setup Manager)
  • 状態: 移行後の状態 (実行中)
Application 2005 ShadowCopy lsass ([プロセスID]) シャドウ コピー インスタンス [インスタンス] を開始しています。これは、完全シャドウ コピーとなります。
Application 2001 ShadowCopy lsass ([プロセスID]) シャドウ コピー インスタンス [インスタンス] の保持を開始しました。
Application 2003 ShadowCopy lsass ([プロセスID]) シャドウ コピー インスタンス [インスタンス] の保持が終了しました。
Application 2006 ShadowCopy lsass ([プロセスID]) シャドウ コピー インスタンス [インスタンス] は正常に完了しました。
Microsoft-Windows-Kernel-PnP/Configuration 400 Kernel-PnP デバイス STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号] が構成されました。
  • ドライバー名: ドライバー名 (volsnap.inf)
  • クラス GUID: デバイスクラス ({533c5b84-ec70-11d2-9505-00c04f79deaf})
  • ドライバーの日付: ドライバーの日付
  • ドライバーのバージョン: ドライバーのバージョン
  • ドライバーのプロバイダー: ドライバーの発行元 (Microsoft)
  • ドライバー セクション: ドライバーのセクション (volume_snapshot_install.NTamd64)
  • ドライバー ランク: ドライバーのランク (0xFF0000)
  • 一致するデバイスID: デバイスID (STORAGE\VolumeSnapshot)
Microsoft-Windows-Kernel-PnP/Configuration 410 Kernel-PnP デバイス STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号] が開始されました。
  • ドライバー名: ドライバー名 (volsnap.inf)
  • クラス GUID: デバイスクラス ({533c5b84-ec70-11d2-9505-00c04f79deaf})
Microsoft-Windows-Kernel-PnPConfig/Configuration 1 Kernel-PnPConfig デバイス コンテナー {[コンテナ番号]} の構成が解除されました。
Microsoft-Windows-Kernel-PnPConfig/Configuration 4 Kernel-PnPConfig インターフェイス クラス {[インターフェイス クラス]} の新しいデバイス インターフェイス '\\?\STORAGE#VolumeSnapshot#HarddiskVolumeSnapshot[番号]#{[インターフェイス クラス]}' が登録されました。
14 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • TargetFilename: 作成されたファイル (C:\System Volume Information\{[GUID]}{[GUID]})
  • CreationUtcTime: ファイル作成日時 (UTC)
Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • TargetFilename: 作成されたファイル (C:\System Volume Information\{[GUID]})
  • CreationUtcTime: ファイル作成日時 (UTC)
15 Application 102 全般 lsass ([プロセスID]) データベース エンジン は新しいインスタンス ([インスタンス]) を開始しています。
  • プロセスID: lsass.exeのプロセスID
  • インスタンス: lsassデータベースのインスタンス番号
Application 300 Logging/Recovery lsass ([プロセスID]) データベース エンジンの回復ステップを開始しています。
Application 216 Logging/Recovery lsass ([プロセスID]) データベースの場所が '[移動元]' から '[移動先]' に移動されたことが検出されました。
  • プロセスID: lsass.exeのプロセスID
  • 移動元: 移動元のntds.dit ('C:\Windows\NTDS\ntds.dit')
  • 移動先: 移動先のntds.dit ('\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[番号]\Windows\NTDS\ntds.dit')
Application 302 Logging/Recovery lsass ([プロセスID]) データベース エンジンは正常に回復ステップを完了しました。
Application 105 全般 lsass ([プロセスID]) データベース エンジンは新規インスタンスを開始しました ([インスタンス])。(時間=[時間] 秒)
  • プロセスID: lsass.exeのプロセスID
  • インスタンス: lsassデータベースのインスタンス番号
  • 時間: 起動に要した時間
Application 103 全般 lsass ([プロセスID]) データベース エンジンはインスタンス ([インスタンス]) を停止しました。
  • プロセスID: lsass.exeのプロセスID
  • インスタンス: lsassデータベースのインスタンス番号
16 セキュリティ 4904 ポリシーの変更の監査 セキュリティ イベント ソースの登録が試行されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: 登録を試行したユーザーのセッションID
  • プロセス > プロセスID: 登録を試行したプロセスID
  • プロセス > プロセス名: 登録を試行したプロセス名 (C:\Windows\System32\VSSVC.exe)
  • イベント ソース > ソース名: 登録されたイベント ソース名 (VSSAudit)
  • イベント ソース > イベント ソース ID: イベント ソースID
セキュリティ 8222 VSSAudit シャドウ コピーが作成されました。
  • ユーザー SID: 作成したユーザーのSID
  • ユーザー名: 作成したユーザー名
  • プロセスID: 作成したプロセスID
  • プロセスのイメージ名: 作成したプロセスのGUID
  • シャドウ セットID/シャドウID: 作成したシャドウのID
  • プロバイダーID: 作成したホスト
  • 元のコンピューター: 作成元ホスト・パーティション名 (\\?\Volume{[GUID]}\)
  • 元のボリューム: 作成元となったボリューム (\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[番号])
  • シャドウ デバイス名: 作成されたシャドウデバイスの名前
セキュリティ 4905 ポリシーの変更の監査 セキュリティ イベント ソースの登録解除が試行されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: 登録の解除を試行したユーザーのセッションID
  • プロセス > プロセスID: 登録の解除を試行したプロセスID
  • プロセス > プロセス名: 登録の解除を試行したプロセス名 (C:\Windows\System32\VSSVC.exe)
  • イベント ソース > ソース名: 登録が解除されたイベント ソース名 (VSSAudit)
  • イベント ソース > イベント ソース ID: イベント ソースID
17 セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名 (CN=Builtin,DC=[DN])
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
18 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\system32\ntdsutil.exe)
  • TargetFilename: 作成されたファイル (C:\$SNAP_[実行日時]_VOLUMEC$)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\$SNAP_[日時]_VOLUMEC$)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\VSSVC.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\VSSVC.exe)
セキュリティ 4673 重要な特権の使用 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス > プロセス名: 特権を使用したプロセス
  • プロセス > プロセスID: 特権を使用したプロセスのプロセスID (C:\Windows\explorer.exe)
  • サービス要求情報 > 特権: 使用された特権 (SeTcbPrivilege)
19 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\ntdsutil.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\ntdsutil.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)

- レジストリエントリ

# パス 種類
1 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000\DriverDesc String Generic volume shadow copy
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000\ProviderName String Microsoft
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000\DriverDateData String [ドライバー更新日時のバイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000\DriverDate String [ドライバーの更新日時]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000\DriverVersion String [バージョン番号]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000\InfPath String volsnap.inf
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000\InfSection String volume_snapshot_install.NTamd64
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000\MatchingDeviceId String STORAGE\VolumeSnapshot
2 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\##?#STORAGE#VolumeSnapshot#HarddiskVolumeSnapshot[番号]#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\DeviceInstance String STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号]
3 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号]\Capabilities DWORD 0x000000F0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号]\ConfigFlags DWORD 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号]\ContainerID String {00000000-0000-0000-ffff-ffffffffffff}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号]\HardwareID String [文字列]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号]\ClassGUID String {533c5b84-ec70-11d2-9505-00c04f79deaf}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号]\DeviceDesc String @volsnap.inf,%storage\volumesnapshot.devicedesc%;Generic volume shadow copy
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号]\Driver String {533c5b84-ec70-11d2-9505-00c04f79deaf}\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号]\Mfg String @volsnap.inf,%msft%;Microsoft
4 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\DFS Replication service writer\IDENTIFY (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\DFS Replication service writer\IDENTIFY (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\ASR Writer Key (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\COM+ REGDB Writer Key (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\FSProvider_{89300202-3cec-4981-9171-19f59559e0f2} Key (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelacev Key (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace(C:_) Key (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\IDENTIFY (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\IDENTIFY (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\PREPAREBACKUP (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\PREPAREBACKUP (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\VSS_WS_STABLE (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\PREPARESNAPSHOT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\PREPARESNAPSHOT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\VSS_WS_WAITING_FOR_FREEZE (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\FREEZE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\FREEZE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\VSS_WS_WAITING_FOR_THAW (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\BKGND_FREEZE_THREAD (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\THAW (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\BKGND_FREEZE_THREAD (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\THAW (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\VSS_WS_WAITING_FOR_POST_SNAPSHOT (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\POSTSNAPSHOT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\POSTSNAPSHOT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\VSS_WS_WAITING_FOR_BACKUP_COMPLETE (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\GETSTATE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\GETSTATE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\BACKUPCOMPLETE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\NTDS\BACKUPCOMPLETE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer Key (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer Key (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5} Key (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}DeleteProcess (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}DeleteProcess (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}PrepareForSnapshot (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}PreExposure (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}PreExposure (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}PrepareForSnapshot (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}EndCommit (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}EndCommit (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}SetIgnorable (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}SetIgnorable (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}AdjustBitmap (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}ComputeIgnorableProduct (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}ComputeIgnorableProduct (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VolSnap\Volume{[GUID]}AdjustBitmap (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher Key (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher Key (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\WMI Writer\IDENTIFY (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\WMI Writer\IDENTIFY (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\ASR Writer\IDENTIFY (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\ASR Writer\IDENTIFY (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\COM+ REGDB Writer\IDENTIFY (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\COM+ REGDB Writer\IDENTIFY (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace\OPEN_VOLUME_HANDLE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace\OPEN_VOLUME_HANDLE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace\IOCTL_FLUSH_AND_HOLD (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace\IOCTL_FLUSH_AND_HOLD (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace\IOCTL_RELEASE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace\IOCTL_RELEASE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace(C:_)\OPEN_VOLUME_HANDLE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace(C:_)\OPEN_VOLUME_HANDLE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace(C:_)\IOCTL_FLUSH_AND_HOLD (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace(C:_)\IOCTL_FLUSH_AND_HOLD (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace(C:_)\IOCTL_RELEASE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Lovelace(C:_)\IOCTL_RELEASE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\IDENTIFY (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\IDENTIFY (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\PREPAREBACKUP (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\PREPAREBACKUP (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\VSS_WS_STABLE (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\PREPARESNAPSHOT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\PREPARESNAPSHOT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\VSS_WS_WAITING_FOR_FREEZE (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\FREEZE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\FREEZE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\VSS_WS_WAITING_FOR_THAW (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\BKGND_FREEZE_THREAD (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\THAW (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\BKGND_FREEZE_THREAD (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\THAW (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\VSS_WS_WAITING_FOR_POST_SNAPSHOT (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\POSTSNAPSHOT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\POSTSNAPSHOT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\VSS_WS_WAITING_FOR_BACKUP_COMPLETE (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\GETSTATE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\GETSTATE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\BACKUPCOMPLETE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Registry Writer\BACKUPCOMPLETE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\IDENTIFY (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\IDENTIFY (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\PREPAREBACKUP (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\PREPAREBACKUP (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\VSS_WS_STABLE (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\PREPARESNAPSHOT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\PREPARESNAPSHOT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\VSS_WS_WAITING_FOR_FREEZE (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\FREEZE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\FREEZE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\VSS_WS_WAITING_FOR_THAW (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\BKGND_FREEZE_THREAD (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\THAW (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\BKGND_FREEZE_THREAD (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\THAW (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\VSS_WS_WAITING_FOR_POST_SNAPSHOT (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\POSTSNAPSHOT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\POSTSNAPSHOT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\VSS_WS_WAITING_FOR_BACKUP_COMPLETE (SetCurrentState) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\GETSTATE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\GETSTATE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\BACKUPCOMPLETE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\Shadow Copy Optimization Writer\BACKUPCOMPLETE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_BEGINPREPARE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_BEGINPREPARE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_ENDPREPARE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_ENDPREPARE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_PRECOMMIT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_PRECOMMIT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_COMMIT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_COMMIT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_POSTCOMMIT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_POSTCOMMIT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_PREFINALCOMMIT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_PREFINALCOMMIT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_POSTFINALCOMMIT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}\PROVIDER_POSTFINALCOMMIT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher\IDENTIFY (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher\IDENTIFY (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher\PREPAREBACKUP (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher\PREPAREBACKUP (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher\DOSNAPSHOT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher\DOSNAPSHOT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher\GETSTATE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher\GETSTATE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher\BACKUPCOMPLETE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssapiPublisher\BACKUPCOMPLETE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\PREPARESNAPSHOT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\PREPARESNAPSHOT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE_FRONT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE_FRONT (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE_BACK (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE_BACK (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE_SYSTEM (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE_SYSTEM (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE_KTM (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE_KTM (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE_RM (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE_RM (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\FREEZE (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\THAW_KTM (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\THAW_KTM (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\THAW (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\THAW (Leave) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\POSTSNAPSHOT (Enter) Binary [バイナリ値]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\VssvcPublisher\POSTSNAPSHOT (Leave) Binary [バイナリ値]
5 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceContainers\{00000000-0000-0000-FFFF-FFFFFFFFFFFF}\BaseContainers\{00000000-0000-0000-FFFF-FFFFFFFFFFFF}\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[番号] Binary (値の設定無し)
6 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{[GUID]} Key (値の設定無し)
HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\LocalMOF Key (値の設定無し)